Ödeme Kartları Endüstrisi Veri Güvenliği Standardı (PCI DSS),
kartlı ödeme sistemlerinde veri güvenliğini sağlamak amacıyla uluslararası kabul görmüş ödeme markaları (American Express, Discover Financial Services, JCB International, MasterCard Worldwide ve Visa Inc. International) tarafından oluşturulmuş PCI Komitesi tarafından geliştirilen teknik ve operasyonel bir sistemdir.
PCI DSS, kartlı ödeme sistemlerinde yer alan kurum ve kuruluşlarda bilgi güvenliğini sağlamak için bilgi sistemlerinde bilgi iletimini, işleyişi ve depolamayı esas alan;
- 6 temel kriter baz alınarak oluşturulmuş
- 12 gereksinim kategorisi
- 12 kategori altında yer alan 200 üzerindeki kontrol noktasından oluşmaktadır.
PCI DSS, sadece bankaları kapsayan bir standart değil, Kredi kartı ile işlem yapılmasını sağlayan veya kart bilgisini saklayan tüm sistemleri de içine alan standartttır.
Peki PCI DSS Standartları içindeki başlıklar nelerdir?
1.Güvenli ve Sürekli Bir Network Alt Yapısı Oluşturmak
a. Kart bilgilerini korumak için firewall konumlandırılması ve yapılandırılması
b. Default password kullanılmaması
2. Kart Bilgilerini Saklama ve Güvenlik
a. Kart bilgilerinin güvenli şekilde saklanması
b. Public networklerde kart bilgilerinin şifreli olarak gönderilmesi.
3. Güvenlik Açığı Yönetimi Programı Kullanmak
a. Anti virüs uygulamalarının güncel tutulması
b. Güvenli sistem ve uygulama geliştirilmesi ve devam ettirilmesi
4. Erişim Kontrolü Uygulanması
a. Firma içinde kart bilgilerine erişim kısıtlaması olmalı
b. Her kullanıcının kendine ait Kullanıcı kodu olmalı, bu kullanıcı kodu ile oturum açılmalı
c. Kart bilgilerine fiziksel olarak erişim engellenmelidir.
5. Düzenli Olarak İzleme ve Test Etme
a. Kart bilgilerine erişim ve networke gelen tüm erişimler izlenmelidir.
b. Güvenlik sistemleri ve süreçler sürekli test edilmeli
6. Bilgi Güvenliği Politikasi
a. Tüm personel için bilgi güvenliğini ilgilendiren sürdürülebilir bir politika uygulanmalıdır.
PCI DSS’te kullanılan seviyeler nelerdir?
Güvenlik programları belli bir standart üzerinden ilerlese de e-ticaret firmaları ve diğer kredi kartı kullandırıcıları, kart işlem sayılarına göre 4 farklı seviyede değerlendirilirler. Farklı seviyelere göre uyum doğrulamayı gerektirecek yöntemler farklıdır.
Visa ve Mastercard ürünlerini kullanan firmalar için seviyeler kabaca aşağıdaki gibi sınıflandırılabilir:
– Level 1: Yılda 6 milyondan fazla işlem yapılan firmalar.
– Level 2: Yılda 1-6 milyon arası işlem yapılan firmalar.
– Level 3: Yılda 20 bin-1 milyon arası işlem yapılan firmalar
– Level 4: Yılda 20 binden az işlem yapılan firmalar.
